Advanced Security，现在正式发布，从企业版本2025.3开始，通过添加对开源代码的支持来扩展核心安全功能。

新功能包括：

• 增强了拉取请求和整体代码中每个依赖项版本的安全性和许可风险的可见性。
• 可配置的质量门可以包括依赖项风险评分，防止具有高风险依赖项的代码进入生产环境。
• 可配置公司的许可证合规性策略允许组织在 SonarQube 中定义和实施自定义许可证合规性策略。
• 项目概览屏幕现在显示依赖项风险计数，使开发人员能够立即了解其项目依赖项的运行状况。
• 发现和分析跨多个应用程序和产品组合的依赖风险。
• 增强了 SCA 结果和软件物料清单 （SBOM） 的 API 访问，以便与其他工具和自定义报告无缝集成。
• SCA 的语言覆盖范围广泛且不断增长，从 Java、C#、Python、JavaScript、TypeScript、Go、Rust 和 Ruby 开始，
  确保开发人员可以快速分析第三方依赖项中的漏洞和许可问题。

SonarQube 高级安全

自动检测新的依赖风险，无需重新分析

自动检测永久分支（包括主分支）上的项目依赖项中新发现的漏洞，无需重新分析项目。作为企业版及更高版本的 

SonarQube 高级安全许可证的一部分提供。

用于 PHP 的 SCA

为使用 Packagist 和 Composer 进行依赖关系管理的 PHP 项目引入了软件组合分析 （SCA） 支持。该功能分析 

PHP 代码以识别和管理第三方依赖项中的公共漏洞和许可证。此外，它还会在软件物料清单 （SBOM） 中生成条

目。作为企业版及更高版本的 SonarQube 高级安全许可证的一部分提供。

机器可读的 SCA 报告

提供项目、应用程序和项目组合的依赖风险的机器可读报告，提供 JSON 和 CSV 格式。该报告包括项目、依赖项

链、风险标题、CVE/CWE ID、严重性、发现日期、状态和修复信息等详细信息。作为企业版及更高版本的

 SonarQube 高级安全许可证的一部分提供。

SCA 的可定制风险严重性

允许自定义 SonarQube 中依赖风险的严重性级别，从而使您能够调整风险对特定软件质量的影响。作为企业版及

更高版本的 SonarQube 高级安全许可证的一部分提供。

SCA 的风险评级

为软件组合分析 （SCA） 引入 ABCDE 风险评级，特别是针对总体依赖风险、安全依赖风险（漏洞）和可维护性依

赖风险（不允许的许可证）。这些评级显示在项目和应用程序概述屏幕上。作为企业版及更高版本的 SonarQube

 高级安全许可证的一部分提供。

IDE 中的软件组合分析 （SCA）

随着即将发布的 SonarQube for IDE 版本，开发人员将在其 IDE for Visual Studio、IntelliJ 和 VSCode 中看到

软件组合分析 （SCA） 结果。作为企业版及更高版本的 SonarQube 高级安全许可证的一部分提供

深圳市众智软件有限公司（Shenzhen Zhongzhi Software Co., Ltd.）成立于2013年，专注于应用和网络安全领域，

致力于安全咨询和服务方案。凭借丰富的解决方案、雄厚的技术实力以及丰富的服务经验，为金融（银行、保险、证券）

、互联网、电子、电力、汽车、教育、检测机构等行业的广大用户，提供优质、全面、个性化的应用安全解决方案、

应用安全技术服务和实施服务等。

               众智软件已获得数十项计算机软件著作权和多款自主研发产品，目前已与众多的国内外知名软件厂商实现了

全方位的紧密合作，拥有丰富的软件产品线和解决方案，目前已成为国内领先的软硬件安全解决方案、服务和培训的

供应商，同时也是全球知名的软件厂商如MicroFocus、IBM、SonarSource、Synopsys、fireEye、NGS、HCL等在

国内最大的合作商。

       众智软件践行“客户为中心，共铸安全”服务理念，不断丰富解决方案和提高服务能力的同时，积极地进行区域

拓展，目前已在北京、上海、郑州、成都设有办事处，以便为客户提供更好更高效的本地服务。